Open intrusion detection systems analysis
DOI:
https://doi.org/10.18372/2225-5036.24.13431Keywords:
attacks, cyberattacks, anomalies, exploits, intrusion detection systems, cyberattack detection systems, anomaly detection systems, information systems anomaly detectionAbstract
Ongoing advances in information technology affect all areas of society. One of the most promising areas of rapid growth within the field of information security is cyberattack detection and intrusion prevention. Massive cyberattacks initiate the development of specific technical solutions, tools and cyber countermeasures systems. To identify network intrusions, intrusion detection and prevention systems use modern methods, models, tools and integrated technical solutions that can remain effective when new or modified types of cyberthreats occur. In practice, however, with the emergence of new threats and anomalies, these tools do not always remain effective. Thus, intrusion detection systems must be continuously researched and improved. Such systems include specialized software that is designed to detect suspicious activity or information system intrusions and take sufficient measures to prevent cyberattacks. These systems and tools tend to be rather expensive, closed source, and require periodic support from their developers for improvement and appropriate adaptation to certain organizations' environments. Taking into account the results of well-known research, the paper presents a generalized analysis of intrusion detection systems software using a defined basic set of characteristics ("Cyberattack Category", "Adaptivity", "Detection Methods", "System Management", "Scalability", "Observation Level", "Cyberattack Response", "Security" and "Operating System Support"). This will provide the developers and users with certain options when selecting the appropriate modern information systems protection software.References
Хакерські атаки на Україну, 2017. [Електронний ресурс]. Режим доступу: https://is.gd/ 6lkWHY (дата звернення: 17.04.2018).
Пострадавшие от кибератаки банки и компании: перечень, 2017. [Електронний ресурс]. Режим доступу: https://zn.ua/UKRAINE/postradavshiy-ot-kiberataki-banki-i-kompanii-perechen-252717_ .html (дата звернення: 17.04.2018).
Хакерська атака на Україну: подробиці, 2017. [Електронний ресурс]. Режим доступу: https://www.rbc.ua/ukr/news/hakerskaya-ataka-ukrainu-podrob-nosti-1498566985.html (дата звернення: 17.04.2018).
А. Мустафаев, "Нейросетевая система обнаружения компьютерных атак на основе анализа сетевого трафика", Вопросы безопасности, № 2. С. 1-7, 2016. [Электронный ресурс]. Режим доступа: http://e-notabene.ru/nb/article_18834.html (дата обращения: 18.04.2018).
А. Корниенко, И. Слюсаренко, "Системы и методы обнаружения вторжений: современное состояние и направления совершенствования", [Электронный ресурс]. Режим доступа: http:// citforum. ru/security/internet/ids_overview/ (дата обращения: 18.04.2018).
В. Литвинов, "Аналіз систем та методів виявлення несанкціонованих вторгнень у комп’ютерні мережі", Математичні машини і системи, № 1, С. 31-40, 2018. [Електронний ресурс]. Режим доступу: URL: https:// cyberleninka.ru/ article/ v/ analiz-sistem-tametodiv-vi-yavlennya-nesanktsionovanih-vtorgnen-ukompyuterni-merezhi (дата звернення: 03.07.2018).
А. Браницкий, А. Котенко, "Анализ и классификация методов обнаружения сетевых атак", Тр. СПИИРАН, № 2 (45), С. 207-244, 2016.
Краткий анализ решений в сфере СОВ и разработка нейросетевого детектора аномалий в сетях передачи данных, 2018. [Электронный ресурс] Режим доступа: https://habr.com/post/358200/ (дата обращения: 03.07.2018).
О. Колодчак, "Сучасні методи виявлення аномалій в системах виявлення вторгнень", Вісник Національного ун-т «Львівська політехніка». Комп’ютерні системи та мережі, № 745, С. 98-104, 2012.
Д. Даниленко, О. Смірнов, Є. Мелешко, "Дослідження методів виявлення вторгнень в телекомунікаційні системи та мережі", Системи озброєння і військова техніка, Х.: Харк. нац. ун-т Повітряних Сил ім. І. Кожедуба, № 1, С. 92-100, 2012.
R. Patel, A. Thakkar, A. Ganatra, "A Survey and Comparative Analysis of Data Mining Techniques for Network Intrusion Detection Systems", International Journal of Soft Computing and Engineering (IJSCE), vol. 2, no. 1, pp. 265-260, 2012.
Al-Sakib Khan Pathan, The State of the Art in Intrusion Prevention and Detection, 2014, 516 p. [Electronic reso-urse]. Online: http://docshare03. docshare.tips/files/ 20579/205795770.pdf (viewed on August 4, 2018).
Г. Бекетова, Б. Ахметов, О. Корченко, В. Лахно, "Розробка моделі інтелектуального розпізнавання аномалій і кібератак з використанням логічних процедур, які базуються на покриттях матриць ознак", Безпека інформації, Т. 22, № 3, С. 242-254, 2016.
К. Носенко, О. Півторак, Т. Ліхоузова, "Огляд систем виявлення атак в мережевому трафiку", Адаптивні системи автоматичного управління, К : НТУУ КПІ, № 1 (24), С. 67-75, 2014.
М. Радченко, "Аналiз системи виявлення вторгнень та комп’ютерних атак", Междисциплинарные исследования в науке и образовании, № 2, 2013.
Amrit Pal Singh, Manik Deep Singh, "Analysis of Host-Based and Network-Based Intrusion Detection System", I. J. Computer Network and Information Security, vol. 8, pp. 41-47, 2014.
В. Мєшков, В. Віролайнен, "Аналiз сучасних систем виявлення та запобiгання вторгнень в інформацiйно-телекомунiкацiйних системах", Проблеми безпеки інформації в інформаційно-комунікаційних системах, Д.: НТУУ КПІ РТФ, 2015. C. 4. [Електронний ресурс]. Режим доступу: http:// ela. kpi. ua/ bitstream/ 123456789/ 17609/1/meshkov.pdf (дата звернення: 06.07.2018).
А. Лось, Ю. Даниелян, "Сравнительный анализ систем обнаружения вторжений, представленных на отечественном рынке", Вестник Московского финасово-юридического универсистета, № 3. С. 181-187, 2014.
А. Белова, Д. Бородавкин, "Сравнительный анализ систем обнаружения вторжений", Актуальные проблемы авиации и космонавтики, Сибирь: СФУ, Т. 1, № 12, С. 742-744, 2016.
А. Завада, О. Самчишин, В. Охрімчук, "Аналіз сучасних систем виявлення атак і запобігання вторгненням", Інформаційні системи, Житомир: Збірник наукових праць ЖВІ НАУ, Т. 6, № 12, С. 97106, 2012.
Обзор систем обнаружения вторжений. Металургический журнал. Отрасли народного хозяйства. Исследования рынка, 2003. [Электронный ресурс] Режим доступа: http://www.metclad.ru/pata-587-list/ (дата обращения: 10.07.2018).
В. Бабошин, В. Васильев, "Обзор зарубежных и отечественных систем обнаружения компьютерных атак", Информация и космос. СПб : СанктПетербургская научно-техническая общественная организация «Институт телекоммуникаций», № 2, С. 36-41, 2015.
С. Гриняев, Системы обнаружения вторжений, № 10, 2001. [Электронный ресурс]. Режим доступа: https://www.bytemag.ru/articles/detail.php? ID=6563 (дата обращения: 10.07.2018).
Е. Абрамов, И. Половко, "Выбор характеристик систем обнаружения атак для выработки заключения о функциональных возможностях", Известия Южного федерального университета. Технические науки. Таганрог : ЮФУ, № 12 (125), С. 88-96, 2011.
Mohammad Sazzadul Hoque, Md. Abdul Mukit, Md., Abu Naser Bikas, "An implementation of intrusion detection system using genetic algorithm", International Journal of Network Security & Its Applications (IJNSA), Sylhet, Vol. 4, no. 2, pp. 109-120, 2012.
O. Lawal, "Analysis and Evaluation of Network-Based Intrusion Detectionand Prevention System in an Enterprise Network Using Snort Freeware", African Journal of Computing & ICT, Ibadan, Vol. 6, no. 2, pp. 169-184, 2013.
S. Cooper, 11 Top Intrusion Detection Tools for 2018. [Electronic resource]. Online: https://www.comparitech.com/net-admin/networkintrusion-de-tection-tools/ (viewed on August 12, 2018).
Т. Зоріна, "Системи виявлення і запобігання атак в комп’ютерних мережах", Вісник східноукраїнського національного університету імені Володимира Даля, № 5 (204), С. 48-52, 2013.
Liu Hua Yeo, Understanding modern intrusion detection systems: a survey, 2017. [Electronic resource]. Online: https:// arxiv. org/ ftp/ arxiv/ papers/ 1708/ 1708.07174.pdf (viewed on August 12, 2018).
Д. Гамаюнов, Р. Смелянский, "Современные некоммерческие средства обнаружения атак", Программные системы и инструменты. Тематический сборник. М. : Ф-т ВМиК МГУ, C. 20, 2002.
А. Корниенко, И. Слюсаренко, "Системы и методы обнаружения вторжений: современное состояние и направления совершенствования", 2009. [Электронный ресурс]. Режим доступа: http://citforum. ru/ security/ internet/ ids_overview/ (дата обращения: 15.07.2018).
Е. Явтуховский, "Анализ систем обнаружения вторжений на основе интеллектуальных технологий", Технические науки: теория и практика: материалы ІІІ Междунар. науч. конф., С. 27-30, 2016. [Электронный ресурс]. Режим доступа: https:// moluch. ru/ conf/ tech/archive/165/10049/ (дата обращения: 17.07.2018).
A. Kuznetsov, "The statistical analysis of a network traffic for the intrusion detection and prevention systems", Telecommunications and Radio Engineering, Kharkiv, vol. 74, no. 1, 2015.
Marjan Kuchaki Rafsanjani, Zahra Asghari Varzaneh, "Intrusion Detection By Data Mining Algorithms: A Review", Journal of New Results in Science, Tokat : Gaziosmanpasa University, no. 2. pp. 76-91, 2013.
О. Кузнецов, О. Смірнов, Д. Даниленко, "Дисперсійний аналіз мережевого трафіку для виявлення та запобінання вторгнень в телекомунікаційних системах і мережах", Системи обробки інформації, Х. : Харк. нац. ун-т Повітряних Сил ім. І. Кожедуба, Вип. 2, С. 124-133, 2014.
Neyole Misiko Jacob, Muchelule Yusuf Wanjala, "A Review of Intrusion Detection Systems", Global Journal of Computer Science and Information Technology Research. Framingham : Global Journals Inc., Vol. 5, no. 4, pp. 1-5, 2017.
А. Большев, В. Яновский, "Подход к обнаружению аномального трафика в компьтерных сетях с использованием методов кластерного анализа", Известия Государственного Электротехнического Университета, серия Информатика, управления и компьютерные технологии, СПб. : Изд-во СПбЭТУ, Вып. 3. С. 38-45, 2006.
А. Корченко, С. Ахметова, "Классификация систем обнаружения вторжений", Інформаційна безпека. № 1 (13); № 2 (14). С. 168-175, 2014.
В. Мєшков, В. Віролайнен, "Аналіз сучасних систем виявлення та запобігання вторгнень в інформаційно-телекомунікаційних системах", Проблеми безпеки інформації в інформаційно-комунікаційних системах. К. : НТУУ КПІ РТФ, №. 1. С. 1-4, 2015.
М. Грайворонський, О. Новіков, Безпека інформацiйно-комунiкацiйних систем : навч. посіб, К. : Видавнича група BHV, 2009, 608 с.
А. Корченко, Построение систем защиты информации на нечетких множествах. Теория и практические решения, К. : МК-Пресс, 2006, 320 с.
О. Матов, В. Василенко, "Модель загроз у розподілених мережах", Реєстрація, зберігання та обробка даних, К. : НАУ, Т. 10, № 1. С. 91-102, 2008.
Security Research Laboratory and Education Center, 1999. [Electronic resource]. Online: https:// www.linuxjournal.com/article/3175 (viewed on August 20, 2018).
E. Spafford, D. Zamboni, CERIAS – Autonomous Agents for Intrusion Detection, 2000. [Electronic resource]. Online: http://www.cerias.purdue. edu/site/about/history/coast/projects/aafid.php (viewed on August 20, 2018).
J. Balasubramaniyan, An architecture for intrusion detection using autonomous agents, 2002. [Electronic resource]. Online: https://ieeexplore.ieee. org/abstract/document/738563 (viewed on August 20, 2018).
J. Balasubramaniyan, An Architecture for Intrusion Detection using Autonomous Agents, 1998. [Electronic resource]. Online: https://pdfs.semanticschoar.org/bb4b/a3a4e8b850011844c00aa0fa964bf4664b 23.pdf (viewed on August 20, 2018).
SNORT. Snort team. San Jose: Cisco Systems Inc, 2018. [Electronic resource]. Online: https:// www.snort.org/ (viewed on August 23, 2018).
IDS / IPS. Netgate Documentation: [website]. Washington : Rubicon Communications LLC, 2017. [Electronic resource]. Online: https://www.netgate. com/docs/pfsense/ids-ips/ (viewed on August 23, 2018).
Джей Бил, Snort 2.1. Обнаружение вторжений : книга, 2006, 656 с.
Snort. Spy-Soft.net: Информационная безопасность на практике, 2016. [Электронный ресурс]. Режим доступа: http://www.spy-soft.net/snort/ (дата обращения: 24.07.2018).
Snort. Snort team. Snort Blog : the Official Blog of the World Leading Open-Source IDS/IPS Snort : [website]. San Jose : Cisco Systems Inc, 2017. [Electronic resource]. Online: https:// blog. snort. org/ 2017/ 10/ snort-29110-has-been-released.html (viewed on August 24, 2018).
Prelude SIEM. Prelude SIEM. CS Communication & Systemes, 2018. [Electronic resource]. Online: https://www.prelude-siem.org/ (viewed on August 26, 2018).
SIEM на практике: дружим Prelude + Cisco IPS и выявляем эксплуатацию HeartBleed через корреляцию, 2014. [Электронный ресурс]. Режим доступа: https://habr.com/post/220449/ (дата обращения: 26.07.2018).
S. Eckmann, G. Vigna, R. Remmerer, "STATL: An Attack Language for State-based Intrusion Detection", Journal of Computer Security, Santa Barbara, pp. 1-29, 2000.
G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach", Proceedings 14th Annual Computer Security Applications Conference. Phoenix : IEEE, pp. 1-10, 1998.
Koral Ilgun, "USTAT: A real-time intrusion detection system for UNIX", Proceedings 1993 IEEE Computer Society Symposium on Research in Security and Privacy. Oakland : IEEE, pp. 16-28, 1993.
Naji Habra, Baudouin Le Charlier, Abdelaziz Mounhji, Isabelle Mathieu, "ASAX: Software architecture and rule-based language for universal audit trail analysis", Proceedings of ESORICS`92 European Symposium on Research in Computer Security. Toulouse, Vol. 648. pp. 435-450, 1992.
A. Mounji, "Preliminary Report on Distributed ASAX", Research Report, Computer Science Institute. Namur : University of Namur, 1994.
N. Habra, B. Le Charlier, A. Mounji, "Advanced Security Audit Trail Analysis on Unix. Implementation Design of the NADF Evaluator", Technical report. Namur : University of Namur, 1993.
N. Habra, B. Le Charlier, A. Mounji, "Advanced Security Audit Trail Analysis on Unix (ASAX also called SAT-X). Implemention design of the NADF Evaluator", 1994. [Electronic resource]. Online: http:// citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.51. 7971&rep=rep1&type=pdf (viewed on September 3, 2018).
Р. Ярыженко, "Большой Брат: обзор системы обнаружения вторжений Bro" [Электронный ресурс]. Режим доступа: https://xakep.ru/2015/06/ 28/big-bro-197/ (дата обращения: 05.09.2018).
Vern Paxson, "Bro: A system for detecting network intruders in real-time", Proceedings of the 7th USENIX Security Symposium. San Antonio : USENIX, 1998, 22 p.
Vern Paxson, "Bro: A system for detecting network intruders in real-time", Computer Networks. Amsterdam : Elsevier, no. 31 (23-24), pp. 2435-2463, 1999.
Critique of Article Bro: A system for Detecting Network Intruders in Real-Time [Electronic resourse]. Online: https://www.24houranswers.com/ college-homework-library/Computer-Science/NetworkManagement-and-Data-Communication/25914 (viewed on September 6, 2018).
Vern Paxson, Zeek. [Electronic resource]. Online: https:// www. bro. org/ download/ index.html (viewed on September 6, 2018).
James Nelson, "Installing the Splunk for OSSEC App", 2012. [Electronic resource]. Online: http:// grepthelinuxblog.blogspot.com/2012/03/installingsplunk-for-ossec-app.html (viewed on September 8, 2018).
Home-OSSEC, 2018. [Electronic resource]. Online: https://www.ossec.net/ (viewed on September 8, 2018).
Downloads-OSSEC, 2018. [Electronic resource]. Online: https://www.ossec.net/downloads. html (viewed on September 8, 2018).
OSSEC and attacking through the firewall, 2016. [Electronic resource]. Online: https://www.cs. hioa.no/teaching/materials/MS004A/html/L65.en.pdf (viewed on September 8, 2018).
O. Ahmet, "OSSEC-HIDS. Capabilities, Architecture and plans", Presentation at the 5th Linux and Free Software Festival. Ankara, 2006.
Suricata | Open Source IDS/IPs/NSM engine, 2018. [Electronic resource]. Online: https:// suricata-ids.org/ (viewed on October 10, 2018).
Top 10 Intrusion Detection Tools: Your Best Free Options for 2019, 2018. [Electronic resource]. Online: https://www.addictivetips.com/net-admin/ intrusion-detection-tools/ (viewed on October 11, 2018).
Suricata как IPS. [Электронный ресурс]. Режим доступа: https://habr.com/post/192884/ (дата обращения: 11.10.2018).
Мартин Пранкевич, День сурка. Осваиваем сетевую IDS/IPS Suricata [Электронный ресурс]. Режим доступа: https://xakep.ru/2015/06/28/suricata-ids-ips-197/ (дата обращения: 11.10.2018).
Rainer Wichmann, The SAMHAIN file integrity / host-based intrusion detection system. [Electronic resource]. Online: https://www.la-samhna.de/ samhain/index.html (viewed on October 14, 2018).
Examining Tripwire And Samhain IDS Files Information Technology Essay. [Electronic resource]. Online: https://www.ukessays.com/essays/ information-technology/examining-tripwire-and-samhain-ids-files-information-technology-essay.php (viewed on October 14, 2018).
Rainer Wichmann, The SAMHAIN file integrity / host-based intrusion detection system. [Electronic resource]. Online: https://la-samhna.de/samhain/s_faq.html (viewed on October 14, 2018).
Phil Plantamura, Security Onion [Electronic resourse]. Online: https://securityonion.net/ (viewed on October 16, 2018).
Phil Plantamura, Security Onion Solutions. [Electronic resource]. Online: https://securityonionsolutions.com/ (viewed on October 16, 2018).
Security Onion – Intrusion Detection and Network Security Monitoring. [Electronic resource]. Online: https://honim.typepad.com/biasc/2017/12/ security-onion-.html (viewed on October 16, 2018).
IntroductionToSecurityOnion [Electronic resource]. Online: https://github.com/Security-OnionSolutions/security-onion/wiki/IntroductionToSecurity Onion (viewed on Octiber 16, 2018).
CapMe [Electronic resource]. Online: https://github.com/Security-Onion-Solutions/securityonion/wiki/CapMe (viewed on Octiber 16, 2018).
Squert [Electronic resource]. Online: https://github.com/Security-Onion-Solutions/securityonion/wiki/Squert (viewed on Octiber 16, 2018).
ELSA [Electronic resource]. Online: https://github.com/Security-Onion-Solutions/securityonion/wiki/ELSA (viewed on Octiber 16, 2018).
